Denne uken presenterte jeg artikkelen Information Security Incident Management:Planning for Failure ved IMF-konferansen i Münster. Mesteparten av resultatene som ble presentert er allerede beskrevet i et tidligere blogginnlegg, så i stedet for å kjede leserne med gjentagelser, tenkte jeg at jeg skulle fokusere litt på en problemstilling som kompliserer arbeidet med informasjonssikkerhet i prosesskontrollmiljøer.
Sikkerhetskonsulenten Rune Ask uttalte for mange år siden at “IT-folk og prosesskontroll-folk er som løver og sebraer – de leker ikke godt sammen” (sitert fritt etter hukommelsen). Han kunne også referere til et intervju av en plattformsjef som skal ha uttalt “Vi har ikke IT-systemer – vi har bare programmerbar logikk”. Det virker som om mange i prosesskontrollmiljøet ikke riktig vil ta inn over seg at prosesskontrollsystemer i stadig større grad består av tradisjonelle IT-komponenter med hyllevare programvare, og at de informasjonssikkerhetsutfordringene man sliter med i kontormiljøer også må tas hensyn til i prosesskontroll. Det er jo også et islett av profesjonskamp her – prosessfolkene er ikke nødvendigvis glad for at IT-folk skal begynne å trenge seg inn på deres enemerker bare fordi at man plutselig skal måtte tenke på IT-sikkerhet.
Hva kan man så gjøre med dette? Det er lite som tyder på at det finnes noen “silver bullet” som raskt kan løse problemet, men på lang sikt har jeg personlig tro på opplæring og økt bevissthet. På samme måte som jeg mener at sikkerhet må inn i all programvareutvikling, mener jeg at det også må inn i alle typer systemer – også prosesskontrollsystemer. Vel er det en del spesielle utfordringer med hensyn til sanntidskrav og lignende, men hvis det hadde vært lett kunne jo alle gjort det?